Cómo detectar y evitar skimmers de tarjetas de crédito

El momento en que comencé a preocuparme seriamente por los skimmers de tarjetas de crédito y débito no fue cuando toda mi cuenta bancaria fue transferida a Turquía, o cuando tuve que reemplazar una tarjeta de crédito tres veces en dos meses debido a cargos fraudulentos. Fue cuando supe que robar un número de tarjeta de crédito es tan fácil como conectar un lector de banda magnética a una computadora y abrir un procesador de texto. Cada deslizamiento escupe el número de la tarjeta de crédito, sin necesidad de configuración adicional. Los delincuentes instalan dispositivos más avanzados para robar su información directamente en cajeros automáticos y lectores de tarjetas de crédito. Estos se llaman skimmers, y si tienes cuidado puedes evitar ser víctima de estos dispositivos insidiosos.

¿Qué son los skimmers?

Los skimmers son esencialmente lectores de tarjetas maliciosos conectados a los terminales de pago reales para que puedan recolectar datos de cada persona que desliza sus tarjetas. El ladrón a menudo tiene que regresar a la máquina comprometida para recoger el archivo que contiene todos los datos robados, pero con esa información en la mano puede crear tarjetas clonadas o simplemente irrumpir en cuentas bancarias para robar dinero. Quizás la parte más aterradora es que los skimmers a menudo no impiden que el cajero automático o el lector de tarjetas de crédito funcionen correctamente, lo que los hace más difíciles de detectar.

Según Stefan Tanase, investigador de seguridad de Kaspersky Lab, Stefan Tanase, un investigador de seguridad de Kaspersky Lab, seguirá siendo un problema para los ataques de descremado clásicos. Incluso si las tarjetas tienen un chip, los datos seguirán en la banda magnética de la tarjeta para ser compatibles con los sistemas que no pueden manejar el chip, nos dijo. Incluso ahora, mucho después del lanzamiento de las tarjetas EMV en Estados Unidos, algunos comerciantes aún requieren que los clientes usen la banda magnética.

El skimmer ATM típico es un dispositivo pequeño que se adapta a un lector de tarjetas existente. La mayoría de las veces, los atacantes también colocarán una cámara oculta en algún lugar cercano para registrar números de identificación personal o PIN, utilizados para acceder a las cuentas. La cámara puede estar en el lector de tarjetas, montada en la parte superior del cajero automático, o incluso en el techo. Algunos delincuentes instalan un PIN falso sobre los teclados reales para capturar el PIN directamente, evitando la necesidad de una cámara.

La imagen de arriba es un skimmer de la vida real en uso en un cajero automático. ¿Ves ese pedazo amarillo extraño y voluminoso? Ese es el skimmer. Este es fácil de detectar porque tiene un color y material diferente al de la máquina objetivo, pero hay otros signos reveladores. Debajo de la ranura donde inserta su tarjeta hay flechas elevadas incrustadas en la carcasa de plástico de la máquina. Puede ver cómo las flechas grises están muy cerca de la carcasa del lector amarillo, casi superpuestas. Esa es una señal de que se instaló un skimmer sobre el existente, ya que el lector de tarjetas real tendría algo de espacio entre la ranura de la tarjeta y las flechas.

De Skimmers a Shimmers

Cuando los bancos estadounidenses finalmente se pusieron al día con el resto del mundo y comenzaron a emitir tarjetas con chip, fue una gran ayuda para la seguridad de los consumidores. Estas tarjetas con chip, o tarjetas EMV, ofrecen una seguridad más sólida que las cintas magníficamente simples de las tarjetas de crédito antiguas. Pero los ladrones aprenden rápido y tuvieron años para perfeccionar los ataques en Europa y Canadá que apuntan a las tarjetas con chip.

En lugar de skimmers, que se sientan encima de los lectores de banda magnética, hay reflejos dentro de los lectores de tarjetas. Estos son dispositivos muy, muy delgados y no se pueden ver desde el exterior. Cuando desliza su tarjeta hacia adentro, el brillo lee los datos del chip en su tarjeta, de la misma manera que un skimmer lee los datos en la banda magnética de su tarjeta.

Sin embargo, hay algunas diferencias clave. Por un lado, la seguridad integrada que viene con EMV significa que los atacantes solo pueden obtener la misma información que obtendrían de un skimmer. En su blog, el investigador de seguridad Brian Krebs explica que "los datos recopilados por shimmers no se pueden usar para fabricar una tarjeta basada en chip, pero se pueden usar para clonar una tarjeta de banda magnética. Aunque los datos que generalmente se almacenan en la banda magnética de una tarjeta se replica dentro del chip en tarjetas habilitadas para chip, el chip contiene componentes de seguridad adicionales que no se encuentran en una banda magnética ".

El verdadero problema es que los reflejos son mucho más difíciles de detectar porque se encuentran dentro de cajeros automáticos o máquinas de punto de venta. El brillo que se muestra a continuación se encontró en Canadá y se informó a la RCMP. Es poco más que un circuito integrado impreso en una delgada lámina de plástico. Si los propietarios del dispositivo comprometido no hubieran tenido cuidado, esto podría haber robado la información de todos los que lo usaron.

Los fabricantes de cajeros automáticos no han tomado este tipo de fraude acostado. Los cajeros automáticos más nuevos cuentan con dispositivos antitampering robustos, que a veces incluyen sistemas de radar destinados a detectar objetos insertados o conectados al cajero automático. Sin embargo, un investigador en la conferencia de seguridad de Black Hat pudo usar el dispositivo de radar a bordo de un cajero automático para capturar los PIN como parte de una estafa elaborada.

Las amenazas son reales y evolucionan; Es por eso que es tan importante hacer un cheque rápido a cualquier cajero automático o lector de tarjetas de crédito antes de usarlo.

Verifique si hay manipulación

Cuando se acerque a un cajero automático, verifique si hay signos evidentes de manipulación en la parte superior del cajero automático, cerca de los altavoces, el costado de la pantalla, el lector de tarjetas y el teclado. Si algo se ve diferente, como un color o material diferente, gráficos que no están alineados correctamente o cualquier otra cosa que no se vea bien, no use ese cajero automático. Lo mismo es cierto para los lectores de tarjetas de crédito en la línea de pago o en las estaciones de servicio.

Si está en el banco, es una buena idea echar un vistazo rápidamente al cajero automático al lado del suyo y compararlos. Si hay diferencias obvias, no use ninguna de las dos e informe a su banco sobre la manipulación sospechosa. Por ejemplo, si un cajero automático tiene una entrada de tarjeta intermitente para mostrar dónde debe insertar la tarjeta de cajero automático y el otro cajero automático tiene una ranura de lector simple, sabe que algo está mal. La mayoría de los skimmers están pegados en la parte superior del lector existente y oscurecen el indicador intermitente.

Si el teclado no se siente bien, demasiado grueso, tal vez, entonces puede haber una superposición de robo de PIN, así que no lo use.

Mueve todo

Incluso si no puede ver ninguna diferencia visual, empuje todo, dijo Tanase. Los cajeros automáticos son de construcción sólida y generalmente no tienen piezas sueltas. Los lectores de tarjetas de crédito tienen más variaciones, pero aún así: tire de las partes sobresalientes como el lector de tarjetas. Vea si el teclado está conectado de manera segura y es solo una pieza. ¿Se mueve algo cuando lo empujas?

Los skimmers leen la banda magnética a medida que se inserta la tarjeta, así que dale un poco de movimiento mientras la introduces, aconsejó Tanase. El lector necesita que la banda vaya en un solo movimiento, porque si no está directamente, no puede leer los datos correctamente. Si el cajero automático es del tipo donde toma la tarjeta y la devuelve al final de la transacción, entonces el lector está adentro. Mover la tarjeta cuando la ingresas en la ranura no interferirá con tu transacción, pero frustrará el skimmer.

Esta táctica no funcionará en shimmers y no funcionará con ningún cajero automático que capture y retenga su tarjeta mientras su transacción está en proceso. Sin embargo, todavía hay formas de protegerse cuando usa estas máquinas.

Piensa en tus pasos

Cada vez que ingrese el PIN de su tarjeta de débito, suponga que hay alguien buscando. Tal vez esté sobre tu hombro o a través de una cámara oculta. Cubra el teclado con la mano cuando ingrese su PIN, dijo Tanase. Esa es una buena política incluso si no notas nada extraño en el cajero automático. Obtener el PIN es esencial, ya que los delincuentes no pueden usar los datos de banda magnética robados sin él, nos dijo Tanase. Por supuesto, eso supone que el atacante está usando una cámara y no una superposición para obtener su PIN.

Los delincuentes con frecuencia instalan skimmers en cajeros automáticos que no se encuentran en lugares demasiado ocupados, ya que no quieren que se los observe instalando hardware malicioso o recolectando los datos recolectados. Los cajeros automáticos dentro de los bancos son generalmente más seguros debido a todas las cámaras, aunque algunos delincuentes atrevidos aún logran instalarlos allí. El cajero automático dentro de una tienda de comestibles o restaurante es generalmente más seguro que el que está afuera en la acera. Deténgase y considere la seguridad del cajero automático antes de usarlo.

Dicho esto, ningún lugar está a salvo de un criminal emprendedor. Toma este video, por ejemplo. El ladrón instala un skimmer en la unidad del punto de venta dentro de una tienda de comestibles en segundos.

Las posibilidades de ser golpeado por un skimmer son mayores durante el fin de semana que durante la semana, ya que es más difícil para los clientes reportar los cajeros automáticos sospechosos al banco. Los delincuentes suelen instalar skimmers los sábados o domingos, y luego los eliminan antes de que los bancos vuelvan a abrir el lunes.

Siempre que sea posible, no use la banda magnética de su tarjeta para realizar la transacción. Para los lectores de tarjetas de crédito en las tiendas, sienta debajo de la almohadilla del PIN una ranura para insertar su tarjeta y su chip EMV para leer. Cuando utiliza su chip EMV, la tarjeta está autorizada en el dispositivo y su información personal nunca se transmite. Esto obliga a los delincuentes a atacar el funcionamiento interno de los lectores habilitados para EMV. Si bien es posible descifrar los lectores EMV, es mucho más difícil que el desnatado de banda magnética.

Si el terminal de la tarjeta de crédito acepta transacciones NFC, considere usar Apple Pay, Samsung Pay o Android Pay. Estos servicios tokenizan la información de su tarjeta de crédito, por lo que su información personal nunca está expuesta. Si un criminal intercepta de alguna manera la información, solo obtendrá un número de tarjeta de crédito virtual inútil. Tenga en cuenta que en ciertos dispositivos, Samsung Pay puede emular una transacción de banda magnética si sostiene su teléfono sobre el lector de tarjetas. Esto es mucho más seguro que usar su tarjeta de crédito real.

Un escenario que a menudo requiere el uso de su banda magnética es pagar el combustible en una bomba de gas. Estos son abundantes para los ataques, porque muchos aún no admiten translaciones EMV o NFC, y porque los atacantes pueden obtener acceso a las bombas sin ser notados. Es mucho más seguro entrar y pagarle al cajero. Si no hay un cajero de turno, use los mismos consejos para usar cajeros automáticos e investigue el lector de tarjetas antes de usarlo.

Ataques digitales y soluciones

El reciente truco de British Airways introdujo un concepto novedoso: el skimmer de tarjetas digitales. En lugar de un dispositivo físico para capturar la información de su tarjeta, o un sitio web falso de phishing que lo engaña para que ingrese sus datos, un skimmer digital es un software malicioso inyectado en un sitio web legítimo.

Combatir este tipo de ataque depende, en última instancia, de las empresas para garantizar que sus sitios y servicios sean seguros. Pero hay algunas cosas que los consumidores pueden hacer para protegerse. Una opción es usar tarjetas de crédito virtuales. Estos son números de tarjeta de crédito ficticios que están vinculados a su cuenta real de tarjeta de crédito. Si uno está comprometido, no tendrá que obtener una nueva tarjeta de crédito, solo generar un nuevo número virtual. Algunos bancos, como Citi, ofrecen esto como una función, así que pregúntele si está disponible.

Si no puede obtener una tarjeta virtual de un banco, Abine Blur ofrece tarjetas de crédito enmascaradas a los suscriptores. Estas son tarjetas de crédito prepagas que puede crear sobre la marcha y usar para compras en línea. Abine incluso proporciona un nombre falso y una dirección de facturación para usar, ocultando aún más su información personal. Si uno de estos está expuesto, no perderá dinero ni información privada.

Otra opción es inscribirse en alertas de tarjeta. Ally Bank, por ejemplo, enviará una alerta push a su teléfono cada vez que use su tarjeta de débito. Esto es útil, ya que puede identificar inmediatamente las compras falsas. Si su banco ofrece una opción similar, intente encenderla.

Mantenerse al tanto

Si no nota un skimmer de tarjeta y los datos de su tarjeta se roban, anímese. Siempre que informe el robo al emisor de su tarjeta (para tarjetas de crédito) o al banco (donde tiene su cuenta) lo antes posible, no será responsable por el monto perdido y se le devolverá su dinero. Los clientes comerciales, por otro lado, no tienen la misma protección legal y pueden tener más dificultades para recuperar su dinero.

Además, trate de usar una tarjeta de crédito siempre que sea posible. Una transacción de débito es una transferencia de efectivo inmediata y requiere hacer un reclamo de la FDIC que puede demorar semanas en procesarse. Las transacciones con tarjeta de crédito pueden detenerse y revertirse en cualquier momento, y esto ejerce presión sobre los comerciantes para asegurar mejor sus cajeros automáticos y terminales de punto de venta.

La notificación oportuna es muy importante en casos de fraude, así que asegúrese de vigilar sus transacciones de tarjeta de crédito y débito. Las aplicaciones de finanzas personales como Mint.com pueden ayudar a facilitar la tarea de clasificar todas sus transacciones.

• Abine Blur Premium Abine Blur Premium
• Los federales advierten sobre los piratas informáticos 'Jackpotting' en los EE. UU. Los federales advierten sobre los piratas automáticos 'Jackpotting' en los Estados Unidos
• Vea cómo se instala un skimmer de tarjetas en segundos Vea cómo se instala un skimmer de tarjetas en segundos

Por último, presta atención a tu teléfono. Los bancos y las compañías de tarjetas de crédito generalmente tienen políticas de detección de fraude muy activas y se comunicarán de inmediato con usted, generalmente por teléfono o SMS, si notan algo sospechoso. Responder rápidamente puede significar detener los ataques antes de que puedan afectarlo, así que tenga a mano su teléfono.

Solo recuerde: si algo no se siente bien en un cajero automático o un lector de tarjetas de crédito, simplemente no lo use. Siempre que pueda, use el chip en lugar de la tira de su tarjeta. Tu cuenta bancaria te lo agradecerá.